O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve uma análise aprofundada da Configuração Gold fornecida para o Cisco Secure Email Cloud Gateway.
A Cisco recomenda que você conheça estes tópicos:
As informações neste documento são da configuração ouro e das práticas recomendadas para clientes e administradores do Cisco Secure Email Cloud.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este documento também se aplica a:
As quarentenas são configuradas e mantidas no Gerenciador de e-mail e Web para clientes do Cisco Secure Email Cloud. Faça login no Gerenciador de e-mail e Web para exibir as quarentenas:
Aviso: qualquer alteração nas configurações com base nas práticas recomendadas fornecidas neste documento precisa ser revisada e compreendida antes de você confirmar as alterações de configuração no seu ambiente de produção. Consulte seu engenheiro Cisco CX, o DSM (Designated Service Manager, gerente de serviço designado) ou a equipe de conta antes de alterar a configuração.
A Configuração Gold para clientes de nuvem do Cisco Secure Email é a configuração de dia zero e a prática recomendada para o Gateway de nuvem e o Cisco Secure Email and Web Manager. As implantações do Cisco Secure Email Cloud usam Gateway(s) de nuvem e pelo menos um (1) Gerenciador de e-mail e Web. Partes da configuração e das práticas recomendadas instruem os administradores a usar quarentenas localizadas no Gerenciador de e-mail e da Web para fins de gerenciamento centralizado.
Políticas de e-mail > Recipient Access Table (RAT)
A tabela de acesso de destinatário define quais destinatários são aceitos por um ouvinte público. No mínimo, a tabela especifica o endereço e se deve aceitá-lo ou rejeitá-lo. Revise a RAT para adicionar e gerenciar seus domínios conforme necessário.
Rede > Rotas SMTP
Se o destino da rota SMTP for Microsoft 365, consulte Nova Instância de CES de Limitação do Office365 com "4.7.500 Servidor ocupado. Please try again later." (Tente novamente mais tarde.)
Os serviços listados são configurados para todos os clientes do Cisco Secure Email Cloud com os valores fornecidos:
Antisspam IronPort (IPAS)
Filtragem de URL
Detecção de Correio de Cinza
Filtros de epidemia
Proteção avançada contra malware > Reputação e análise de arquivos
Rastreamento de mensagem
Usuários (Administração do sistema > Usuários)
Inscrições de log (Administração do sistema > Inscrições de log)
Serviços adicionais a serem analisados e considerados:
Administração do sistema > LDAP
Defesa de URL
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Observação: certifique-se de que o registro SPF termine com ~all ou -all. Valide os registros SPF para seus domínios antes e depois de qualquer alteração!
Exemplos adicionais de SPF
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Filtro Anti-Spoof
Adicionar filtro de cabeçalho
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Visão geral do HAT > Grupos de remetentes adicionais
No grupo de remetente SUSPECTLIST predefinido
Exemplo de HAT agressivo
Observação: os exemplos de HAT mostram políticas de fluxo de e-mail (MFP) configuradas adicionalmente. Para obter informações completas sobre MFP, consulte "Understanding the Email Pipeline > Incoming/Receiving" (Entendendo o pipeline de e-mail > Recebimento/Entrada) no User Guide (Guia do usuário) para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway que você implantou.
Exemplo de HAT:
Parâmetros de política padrão
Configurações de segurança
Observação: o DMARC requer ajuste adicional para ser configurado. Para obter mais informações sobre o DMARC, consulte "Autenticação de e-mail > Verificação de DMARC" no Guia do usuário para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway implantado.
A política padrão é configurada de forma semelhante a:
Antisspam
Antivírus
AMP
Correio de Cinza
Filtros de conteúdo
Filtros de epidemia
Nomes de política (mostrados)
A política de e-mail da LISTA DE BLOQUEIO é configurada com todos os serviços desativados, exceto a Proteção avançada contra malware, e vincula a um filtro de conteúdo com a ação QUARENTENA.
A política de e-mail ALLOWLIST tem Antispam, Graymail desabilitado e Filtros de conteúdo habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT ou filtros de conteúdo de sua escolha e configuração.
A política de e-mail ALLOW_SPOOF tem todos os serviços padrão ativados, com Filtros de conteúdo ativados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou filtros de conteúdo de sua escolha e configuração.
A política padrão é configurada de forma semelhante a:
Antisspam
Antivírus
Proteção avançada contra malware
Correio de Cinza
Filtros de conteúdo
Filtros de epidemia
DLP
Observação: para obter informações adicionais sobre filtros de conteúdo, consulte "Filtros de conteúdo" no Guia do usuário para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway que você implantou.
URL_QUARANTINE_MALICIOUS
Condição: Reputação de URL; url-reputation(-10.00, -6.00 , "bypass_urls", 1, 1)
Ação: Quarentena: quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
Condição: Reputação de URL; url-reputation(-5.90, -5.60 , "bypass_urls", 0, 1)
Ação: Reputação de URL; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_INAPROPRIADO
Condição: URL Category; url-category (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], "bypass_urls", 1, 1)
Ação: Quarentena; quarentena-duplicada("INAPPROPRIATE_CONTENT")
DKIM_FAILURE
Condição: Autenticação DKIM; autenticação dkim == falha grave
Ação: Quarentena; quarentena duplicada("DKIM_FAIL")
SPF_HARDFAIL
Condição: Verificação de SPF; spf-status == fail
Ação: Quarentena; quarentena duplicada("SPF_HARDFAIL")
EXECUTIVE_SPOOF
Condição: Detecção de e-mail forjado; forged-email-detection("Executive_FED", 90, "")
Condição: Outro cabeçalho; cabeçalho("X-IronPort-SenderGroup") != "(?i)allowspoof"
* set Aplicar regra: Somente se todas as condições corresponderem
Ação: Adicionar/Editar cabeçalho; edit-header-text("Assunto", "(.*)", "[EXTERNO]\\1")
Ação: Quarentena; quarentena duplicada("FORGED_EMAIL")
DOMAIN_SPOOF
Condição: Outro Cabeçalho; header("X-Spoof")
Ação: Quarentena; quarentena duplicada("ANTI_SPOOF")
SDR
Condição: Reputação de domínio; sdr-reputation (['terrível'], "")
Condição: Reputação de domínio; sdr-age ("dias", <, 5, "")
* set Aplicar regra: Se uma ou mais condições corresponderem
Ação: Quarentena; quarentena duplicada("SDR_DATA")
TG_RATE_LIMIT
Condição: Outro cabeçalho; header("X-TG-RATELIMIT")
Ação: Adicionar entrada de log; log-entry("X-TG-RATELIMIT: $filenames")
BLOCKLIST_QUARANTINE
Condição: (Nenhum)
Ação: Quarentena; quarentena("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
Condição: Outro cabeçalho; cabeçalho("X-TG-OUTBOUND") == MALWARE
Ação: Quarentena; quarentena("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Condição: Outro cabeçalho; header("PLACEHOLDER") == PLACEHOLDER
Ação: Cabeçalho da Faixa; strip-header("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
Condição: (Nenhum)
Ação: Adicionar/editar cabeçalho; edit-header-text("Assunto", "\\[EXTERNO\\]\\s?", "")
CONTA_TRANSFERÊNCIA
Condição: Outro cabeçalho; cabeçalho("X-AMP-Result") == (?i)mal-intencionado
Condição: Reputação de URL; reputação de URL(-10.00, -6.00 , "", 1, 1)
*Definir Regra de Aplicação: Se uma ou mais condições corresponderem
Ação: Notificar;notificar ("<Inserir endereço de e-mail do administrador ou distribuidor>", "POSSÍVEL TRANSFERÊNCIA DE CONTA", "", "CONTA_TRANSFERÊNCIA_AVISO")
Ação: duplicate-quarantine("CONTA_TRANSFERÊNCIA")
Para clientes do Cisco Secure Email Cloud, temos filtros de conteúdo de exemplo incluídos na configuração gold e nas práticas recomendadas. Além disso, reveja os filtros "SAMPLE_" para obter mais informações sobre condições e ações associadas que podem ser benéficas na sua configuração.
O Cisco Live hospeda muitas sessões globalmente e oferece sessões presenciais e inovações técnicas que cobrem as melhores práticas do Cisco Secure Email. Para acesso e sessões anteriores, visite o Cisco Live (requer login no CCO):
Cisco Email Security: práticas recomendadas e ajuste fino - BRKSEC-2131
Se uma sessão não estiver disponível, o Cisco Live reserva-se o direito de removê-la devido à idade da apresentação.
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
31-Jul-2022 |
Atualização dos valores mais recentes da Configuração Gold, reformulação para atender aos critérios de publicação, atualização de links e referências. |
1.0 |
15-May-2017 |
Versão inicial |